Инфраструктура проекта Apache подверглась взлому

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 14 Apr 2010.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,062
    Reputations:
    693
    Организация Apache Software Foundation обнародовала информацию о проведении неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей разработчиков через подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Confluence и Bugzilla. Всем пользователям вышеуказанных сервисов, осуществлявших работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Так как злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля также адресована пользователям, использующим простые или словарные пароли.

    Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько разработчиков проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников оказались данные для получения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp.

    Получив права администратора сервиса JIRA, злоумышленники отключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую выполнение JSP-файлов. Соответственно загрузив такой файл под видом приложения к тикету, злоумышленникам удалось выполнить свой код на сервере, что позволило им скопировать содержимое служебных файлов, в числе которых оказались домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для получения доступа в будущем.

    Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими через web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме временный пароль для входа. Многие разработчики, решив, что возникла проблема с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на свой настоящий пароль, используемый и в других сервисах Apache.

    Перехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. Получив root-права, злоумышленники нашли в системе пользователей, у которых были прокешированы в домашней директории параметры аутентификации в репозитории Subversion и пароли для входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами разработчиков. К счастью на сервере minotaur.apache.org злоумышленникам не удалось повысить свои привилегии.

    Спустя 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на другие серверы. 10 апреля работа JIRA и Bugzilla была восстановлена. 13 апреля были выпущены патчи для защиты JIRA от XSS-атак. Работа по восстановлению Confluence wiki еще не завершена.

    13.04.2010
    http://www.opennet.ru/opennews/art.shtml?num=26219
    https://blogs.apache.org/infra/entry/apache_org_04_09_2010
     
    _________________________
    3 people like this.
  2. Kamik

    Kamik Member

    Joined:
    2 Dec 2008
    Messages:
    122
    Likes Received:
    85
    Reputations:
    8
    Красиво они из поломали! :) Тут и СИ хорошо было продумано.
     
    1 person likes this.
  3. combatsxx

    combatsxx Member

    Joined:
    19 Oct 2007
    Messages:
    0
    Likes Received:
    69
    Reputations:
    -16
    красиво имхо =\
     
  4. =MazaHaka=

    =MazaHaka= Active Member

    Joined:
    8 Feb 2009
    Messages:
    0
    Likes Received:
    131
    Reputations:
    -5
    Нравится. Красиво сработано. Грациас, за новость
     
  5. WapGraf

    WapGraf New Member

    Joined:
    12 Apr 2010
    Messages:
    33
    Likes Received:
    3
    Reputations:
    0
    Красота,раз додумались до такого значит мозги есть у ребят :)
     
  6. StarFire

    StarFire Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    118
    Likes Received:
    13
    Reputations:
    1
    этот взлом достоин уважения из за одной xss получить рута круто очень круто ! :)
    вот было бы несладко разработчикам если бы эти хакеры получили доступ к администратированию репозит0рия...
     
    #6 StarFire, 14 Apr 2010
    Last edited: 14 Apr 2010
  7. HighExcel

    HighExcel Well-Known Member

    Joined:
    2 Aug 2007
    Messages:
    43
    Likes Received:
    354
    Reputations:
    6
    Супер продумано. Гениально и просто :)
     
  8. EviJI

    EviJI Banned

    Joined:
    8 Jun 2009
    Messages:
    81
    Likes Received:
    39
    Reputations:
    2
    Молодцы, красиво и просто!
     
  9. azarn1k

    azarn1k New Member

    Joined:
    13 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Супер :) Красиво, и просто. Респект ;)
     
  10. Ershik

    Ershik Elder - Старейшина

    Joined:
    7 Nov 2007
    Messages:
    301
    Likes Received:
    46
    Reputations:
    6
    Действительно потрясающе :)
    Видать, не от нечего делать, а целенаправленно и уверенно взломали :)
     
  11. lukmus

    lukmus Elder - Старейшина

    Joined:
    18 Nov 2009
    Messages:
    401
    Likes Received:
    118
    Reputations:
    23
    это войдет в учебники.
    Неужели у Apache есть собственный отдел расследования, а то что-то слишком подробно описано...
     
  12. White_Star

    White_Star Active Member

    Joined:
    12 May 2009
    Messages:
    5
    Likes Received:
    138
    Reputations:
    38
    И руки прямые..:)
     
  13. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    Блин я прочел не всё понял,а они всё это сделали.
     
  14. NewCapital

    NewCapital Banned

    Joined:
    1 Nov 2009
    Messages:
    156
    Likes Received:
    95
    Reputations:
    14
    краткость сестра таланта)
     
  15. YouShop

    YouShop New Member

    Joined:
    17 Mar 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    согласен полностью.)
     
Loading...